配置移动单点登录向导

可配置移动单点登录 (SSO)，以允许用户从已在 AirWatch 中注册的设备安全地登录到其已启用的应用程序，而无需输入多个密码。

关于此任务

该向导通过执行一系列步骤来为所有支持的平台配置所有设置。在向导配置完成后，您可以编辑配置。

向导配置可能需要几分钟时间。在进行配置时，请勿刷新或导航离开向导配置页面。

您也可以选择单个组件以进行手动配置。

过程

使用管理员密码登录到 AirWatch 控制台。
选择开始使用 > Workspace ONE。
在“移动单点登录功能”部分中，单击配置。
在“设置操作快速而简单！”页面中，单击开始使用以使向导为 Workspace ONE 配置所有移动单点登录组件。

单击手动设置以手动配置移动单点登录。
在“开始使用”页面中，单击继续。
在“自动配置”页面中，单击开始配置。

当一个步骤完成时，该步骤前面会显示一个勾号。
配置完成后，单击完成。

您可以单击编辑设置以更改或查看组件配置，否则请单击关闭。

结果

移动单点登录向导会自动配置以下组件，以便为 iOS、Android for Work 和 Windows 10 设备设置通过 Workspace ONE 进行的移动单点登录。

表 1. 为移动单点登录配置的组件
配置的组件	描述	管理控制台设置页面
证书颁发机构	将会设置与本机 AirWatch 证书颁发机构的连接，以用于为受管 iOS 设备的移动 SSO 颁发身份验证证书。	AirWatch 控制台 >“系统”>“企业集成”>“证书颁发机构”
证书模板	将会预配置 AirWatch 证书模板，以便为移动单点登录颁发证书。	AirWatch 控制台 >“系统”>“企业集成”>“请求模板”
VMware Tunnel	将会配置 VMware Tunnel，VMware Tunnel 可配置证书来向连接到 VMware Identity Manager 的第三方 Android 应用程序提供本地单点登录服务。	AirWatch 控制台 >“系统”>“企业集成”>“VMware Tunnel”
身份验证方法	将会在 VMware Identity Manager 服务中配置移动单点登录所需的身份验证方法。这些身份验证方法可在 AirWatch 证书颁发机构与 VMware Identity Manager 服务之间建立信任链。配置的身份验证方法有适用于 iOS 的移动 SSO、适用于 Android 的移动 SSO、密码 (AirWatch Connector) 以及证书（云部署）。此外，还启用了与 AirWatch 的设备合规性。	VMware Identity Manager 管理控制台 >“身份和访问管理”>“管理”>“身份验证方法”
用户身份验证配置文件	将会创建适用于 iOS 和 Windows 的 AirWatch 配置文件。这些配置文件用于分发证书并配置设备通过 VMware Identity Manager 服务进行身份验证。	AirWatch 控制台 >“设备”>“配置文件和资源”>“配置文件”
访问策略	将会配置 VMware Identity Manager 服务中的默认访问策略，其中包含适用于每种 iOS 设备、Android 设备和 Windows 10 设备的访问规则。对于受管设备，用户将使用移动单点登录进行身份验证。请参阅管理要对用户应用的访问策略。	VMware Identity Manager 管理控制台 >“身份和访问管理”>“管理”>“策略”

下一步做什么

对于 iOS 设备，服务必须与 Kerberos 相集成。这种适用于 iOS 设备的身份验证方法使用密钥分发中心 (Key Distribution Center, KDC)，而不使用第三方系统。对于内部部署，有两个 KDC 选项可用：作为 VMware Identity Manager 云托管服务的 KDC 和设备上的内置 KDC。这可从 VMware Identity Manager 管理控制台中进行配置。请参阅使用密钥分发中心从 iOS 设备进行身份验证。
在 AirWatch 管理控制台中，为每个使用应用程序隧道功能的 Android 程序启用 VPN。
在 AirWatch 管理控制台中，发布用于启用 SSO 的 iOS 配置文件。系统会生成该配置文件，但是不会自动发布它。
对于 Windows 部署，必须手动配置用于云部署的证书。这可从 VMware Identity Manager 管理控制台中进行配置。请参阅《VMware Identity Manager 管理指南》。
为需要从受管设备进行受限访问的应用程序创建访问策略。请参阅管理要对用户应用的访问策略。